Uitspraak
RECHTBANK AMSTERDAM
Civiel recht
Kantonrechter
Zaaknummer: 10975120 \ CV EXPL 24-2451
Vonnis van 18 oktober 2024
in de zaak van
[eiser],
wonende te [woonplaats] ,
eisende partij,
hierna te noemen: [eiser] ,
gemachtigde: mr. L. Bakers,
tegen
de besloten vennootschap met beperkte aansprakelijkheid
COIN MEESTER B.V.,
gevestigd te 's-Hertogenbosch,
gedaagde partij,
hierna te noemen: Coin Meester,
gemachtigde: mr. I.F.M. Lakwijk.
1.De procedure
1.1.
Het verloop van de procedure blijkt uit:
- de dagvaarding van 26 februari 2024 met producties,
- de conclusie van antwoord met producties,
- het tussenvonnis van 21 mei 2024 waarbij een mondelinge behandeling is bepaald.
1.2.
De mondelinge behandeling heeft plaatsgevonden op 17 september 2024. Partijen en hun raadslieden hebben daarbij hun standpunten toegelicht, op elkaars stellingen gereageerd en vragen van de kantonrechter beantwoord. Ten slotte is vonnis bepaald.
2.De feiten
2.1.
Coin Meester is opgericht in 2017. Zij beheert een website (tot begin 2023 genaamd [internetsite] ) en een applicatie (app) voor de mobiele telefoon, waar gebruikers, na het aanmaken van een account, via een online platform (hierna: het platform) bepaalde soorten cryptovaluta van Coin Meester kunnen kopen of kunnen verkopen aan Coin Meester.
2.2.
[eiser] is op 13 mei 2021 klant geworden van Coin Meester.
2.3.
Om te kunnen inloggen op zijn account via de website moest [eiser] zijn account bij Coin Meester beveiligen via een zogenaamde tweestapsverificatie (hierna: 2FA), waarbij hij kon kiezen uit 2FA via e-mail dan wel voor 2FA via Google Authenticator (hierna: GA). [eiser] heeft gekozen voor 2FA via e-mail. Dat hield in dat [eiser] , om in te kunnen loggen in zijn account via de website, naast het opgeven van zijn gebruikersnaam en wachtwoord tevens een code moest invoeren, die hem door Coin Meester werd toegezonden op het door hem opgegeven e-mailadres. Inloggen via de app was wel mogelijk zonder 2FA.
2.4.
De door Coin Meester gehanteerde algemene voorwaarden (versie juni 15, 2018) luiden, voor zover hier relevant:
“5.Registratie
[…]
Om de Dienst te gebruiken, moet u zich registreren voor een account op de Website. Als onderdeel van dit proces wordt u gevraagd om een wachtwoord en, indien u daarvoor kiest, een tweede authenticatiefactor in te stellen. Omdat de Dienst financiële transacties met zich meebrengt, dient u een sterk wachtwoord te gebruiken en de accountgegevens zo veilig mogelijk te houden. Gebruik een
wachtwoord nooit voor meer dan één website/dienst. Wij zijn niet verantwoordelijk voor verlies of schade als u uw accountinformatie verliest, wachtwoorden hergebruikt, zwakke wachtwoorden gebruikt of de tweede authenticatiefactor niet activeert. […]
9.Wallet
Een van de beste functies van Virtuele Valuta is de mogelijkheid om ultieme controle te hebben over uw Virtuele Valuta door te beschikken over de privésleutels. We begrijpen dat dit op dit punt in de ontwikkeling van het crypto-ecosysteem een uitdaging kan zijn. Tot het moment waarop het gemakkelijker wordt om dit in eigen beheer te nemen, bieden wij een manier om Virtuele Valuta
tijdelijk op te slaan in onze Dienst (de Wallet).
De Wallet is een aanvullende functie die alleen bedoeld is voor tijdelijke opslag en is niet geschikt voor langdurige opslag of grote hoeveelheden Virtuele Valuta. We zullen elke redelijke maatregel nemen om de Virtuele Valuta te beveiligen maar kunnen geen totale veiligheid garanderen gezien het feit dat zoiets niet bestaat.
Het gebruik van de Wallet om grote hoeveelheden Virtuele Valuta op te slaan, wordtsterkafgeraden.
De belangrijkste functies van de functie voor opslaan en ophalen zijn:
- tijdelijk deponeren van Virtuele Valuta om te handelen; en
- terugtrekking van de Virtuele Valuta naar een privé wallet na handelen.
We moedigen u aan om de Virtuele Valuta zo snel mogelijk terug te trekken naar een privé wallet.
Alle risico’s en eigendomsrechten die aan de Virtuele Valuta zijn gekoppeld, worden naar u overgedragen zodra de Virtuele Valuta wordt teruggetrokken naar het adres dat u hebt opgegeven. Tenzij anders vermeld op de Website, wordt dit geacht te hebben plaatsgevonden na 1 bevestiging op de betreffende blockchain. […]
11.Aansprakelijkheid
Wat de aansprakelijkheid betreft, is de handel in Virtuele Valuta een nieuwe ontwikkeling. In dit nieuwe crypto-ecosysteem vindt een belangrijke verschuiving plaats in termen van toewijzing van verantwoordelijkheid. De technologie maakt het namelijk mogelijk voor individuen om absolute controle uit te oefenen over zijn of haar Virtuele Valuta. Daarom vinden wij het noodzakelijk om onze
aansprakelijkheid in hoge mate te beperken.
Binnen de grenzen van de wet zijn wij alleen aansprakelijk voor directe schade als gevolg van toerekenbare tekortkoming in de nakoming van de Overeenkomst.
Directe schade omvat alleen:
• redelijke kosten voor het bepalen van de oorzaak en de omvang van de schade; en
• redelijke kosten om eventuele tekortkomingen te herstellen zodat de Dienst voldoet aan deze voorwaarden.
Er is geen aansprakelijkheid voor:
• prijsverschillen als gevolg van vertraagde verwerking van koop- of verkooporders;
• annuleren van bestellingen vanwege duidelijk verkeerde prijsindicaties;
• schade als gevolg van door u onjuist ingevulde Virtuele Valuta adressen of andere betaal)gegevens;
• eventuele schade die is toegebracht aan tegoeden die zijn opgeslagen in de Wallet; en
• enige indirecte schade (inclusief gevolgschade, verlies van inkomsten en winst, verlies van gegevens en immaterieel verlies).”
2.5.
Op de website [internetsite] stond in 2021
,onder het kopje
‘Veelgestelde vragen’en het kopje
‘Welke vorm van 2-factor authenticatie is het veiligst?’ de volgende informatie vermeld:
,onder het kopje
‘Veelgestelde vragen’en het kopje
‘Welke vorm van 2-factor authenticatie is het veiligst?’ de volgende informatie vermeld:
“Welke vorm van 2-factor authenticatie is het veiligste?
In principe is Google Authenticator het veiligst.
Wanneer iemand toegang heeft tot uw e-mailaccount kan deze het wachtwoord van uw account wijzigen door een herstelcode op te vragen.
Zodra deze persoon toegang heeft tot uw account komt er een verificatie mail binnen op hetzelfde e-mailadres. In principe kan deze persoon dus direct volledige toegang tot uw account verschaffen.
Wanneer u Google Authenticator gebruikt heeft u een tweede factor die erbij komt kijken, een code via uw telefoon.
Wanneer iemand dus uw e-mailaccount in handen heeft kan die niet bij uw Bitcoin Meester account komen zonder toegang te hebben tot uw telefoon en de authenticator code.”
2.6.
Op 19 mei 2021 heeft Coin Meester aan haar klanten die nog geen 2FA via GA gebruiken een e-mail gezonden met de volgende inhoud:
“De beveiliging van uw account kan beter!
Beste,
We zien dat u nog geen Google Authenticator gebruikt ter beveiliging van uw account. Wij raden u aan dit zo snel mogelijk in te stellen!
Waarom is 2-factor authenticatie belangrijk?
2-factor authenticatie zorgt ervoor dat er altijd een extra stap ondernomen moet worden alvorens er ingelogd kan worden.
Wanneer u Google Authenticator gebruikt heeft u een tweede factor die erbij komt kijken, namelijk een code via uw telefoon.
Wanneer iemand uw e-mailaccount in handen heeft kan deze persoon niet bij uw Bitcoin Meester account komen zonder toegang te hebben tot uw telefoon en de authenticator code. […]”
2.7.
Op 5 november 2021 is er, via een beschikbare procedure die kan worden gebruikt indien een klant zijn wachtwoord is vergeten, een verzoek bij Coin Meester binnen gekomen tot het wijzigen van het wachtwoord dat hoort bij het account van [eiser] . Na het verzenden van een link naar het door [eiser] opgegeven mailadres [e-mailadres] is het wachtwoord vervolgens gewijzigd en is er ingelogd op het account van [eiser] .
Binnen enkele minuten is vervolgens het tegoed van €15.818,- aan crypto’s van [eiser] verkocht en omgezet naar de crypto Eutherium. Deze Eutherium zijn vervolgens binnen een minuut verzonden naar een (onbekende) externe digitale wallet, waarmee het saldo/de waarde van het account van [eiser] op nul uitkwam. Deze serie van handelingen wordt hierna aangeduid als het incident.
2.8.
[eiser] heeft op 5 november 2021 melding gemaakt van het incident bij Coin Meester en in de dagen daarna diverse keren contact gehad met Coin Meester en haar helpdeskmedewerkers.
2.9.
Bij brief van de gemachtigde van [eiser] van 23 februari 2022 heeft [eiser] Coin Meester aansprakelijk gesteld voor de ten gevolge van het incident door hem geleden schade.
3.Het geschil
3.1.
[eiser] vordert dat de kantonrechter bij uitvoerbaar bij voorraad te verklaren vonnis:
I. voor recht verklaart dat Coin Meester haar contractuele verplichtingen jegens [eiser] met betrekking tot het aanbieden van een veilig platform - waar [eiser] mocht vertrouwen op de professionele expertise van Coin Meester - niet is nagekomen, althans dat Coin Meester haar verplichtingen uit hoofde van haar dienstverlening aan [eiser] niet is nagekomen, althans dat Coin Meester jegens [eiser] onrechtmatig heeft gehandeld en derhalve schadeplichtig is jegens [eiser] ;
II. Coin Meester veroordeelt tot betaling aan [eiser] van de aan hem verschuldigde vergoeding, althans van de wegens wanprestatie dan wel onrechtmatig handelen door hem geleden schade, vast te stellen op een bedrag van €15.818,-, althans een in goede justitie vast te stellen bedrag, te vermeerderen met wettelijke rente vanaf 5 november 2021 althans vanaf de datum van de dagvaarding;
III. Coin Meester veroordeelt tot betaling aan [eiser] van € 933,18 aan buitengerechtelijke kosten, althans een in goede justitie te bepalen bedrag, te vermeerderen met wettelijke rente vanaf 26 februari 2024;
IV. de veroordeling van Coin Meester in de proceskosten met inbegrip van de nakosten.
3.2.
[eiser] stelt dat de met Coin Meester gesloten overeenkomst kwalificeert als een overeenkomst van opdracht in de zin van artikel 7:400 van het Burgerlijk Wetboek (BW) en dat op Coin Meester op grond van artikel 7:401 BW een zorgplicht rust. Bij de invulling van die zorgplicht komt mede betekenis toe aan de regels die gelden voor betaaldienstverleners als opgenomen in titel 7b van boek 7 BW, omdat de diensten die Coin Meester aanbiedt gelijkenis vertonen met de diensten van betaaldienstverleners. Aan dergelijke dienstverlening mogen hoge eisen worden gesteld, zo ook aan de beveiliging van het platform van Coin Meester. Aan die eisen is niet voldaan en dus is sprake van een door Coin Meester gepleegde wanprestatie althans onrechtmatige daad. Concreet verwijt [eiser] aan Coin Meester:
- het uitvoeren van ongeautoriseerde opdrachten, gedaan door daartoe onbevoegden, zonder verdere verificatie (ten aanzien van het wijzigen van het wachtwoord en ten aanzien van de ontvangende externe wallet) waarmee Coin Meester een van haar belangrijkste taken, te weten het bewaren, overboeken en opslaan van crypto ’s, niet conform de overeenkomst heeft uitgevoerd;
- het schenden door Coin Meester van haar contractuele zorgplicht jegens [eiser] , door niet zorg te dragen voor- en door het niet creëren van een zo veilig mogelijke werkomgeving op/via het platform;
- het zich niet door Coin Meester als goed opdrachtnemer gedragen door onvoldoende bescherming te bieden ter voorkoming van fraude, en het onvoldoende waarschuwen voor de onveiligheid van 2FA via e-mail althans het veiliger zijn van 2FA via GA en de keuze tussen deze twee aan de klant over te laten.
[eiser] begroot zijn schade op € 15.818,-.
3.3.
Coin Meester voert gemotiveerd verweer. Primair betwist zij de door [eiser] gestelde toedracht rondom het incident, betwist zij dat zij jegens [eiser] toerekenbaar tekort is geschoten en betwist zij tot vergoeding van enige beweerdelijk geleden schade te zijn gehouden. Van een overeenkomst van opdracht is geen sprake, het gaat om en licentieovereenkomst en daarop volgende overeenkomsten van koop- en verkoop. Coin Meester heeft de verantwoordelijkheid genomen die van haar in haar rol van website aanbieder verwacht mocht worden. De software die zij in 2021 aanbood was voorzien van alle op dat moment gebruikelijke veiligheidsmaatregelen, ook wat betreft opties tot inlogbeveiliging. Bovendien heeft zij [eiser] afdoende ervoor gewaarschuwd dat het gebruik van GA (nog) veiliger is. Er bestond geen verplichting tot implementeren/verplicht stellen van meer veiligheidsmaatregelen.
De regeling zoals neergelegd in titel 7b van boek 7 BW, die geldt voor betaaldienstverleners, is niet op Coin Meester van toepassing. Die regeling is evenmin van invloed op de invulling van eventueel op Coin Meester rustende contractuele (zorg)verplichtingen.
Subsidiair doet Coin Meester een beroep op het in haar algemene voorwaarden onder 5 en 11 opgenomen exoneratiebeding. Het gaat hier om een redelijke aansprakelijkheidsbeperking.
Meer subsidiair doet Coin Meester een beroep op eigen schuld/de eigen schadebeperkingsplicht van [eiser] , als bedoeld in artikel 6:101 BW. [eiser] had een eigen verantwoordelijkheid om zijn e-mail account afdoende te beveiligen, had kunnen kiezen voor een veiligere manier van 2FA via GA en had zich daarover goed moeten laten informeren, wat hij niet/onvoldoende heeft gedaan. Dat blijft voor zijn eigen rekening en risico.
3.4.
Op de stellingen van partijen wordt hierna, voor zover nodig, nader ingegaan.
4.De beoordeling
Kwalificatie van de tussen partijen gesloten overeenkomst
4.1.
[eiser] heeft zich op het standpunt gesteld dat tussen partijen gesloten overeenkomst(en) moeten worden aangemerkt als overeenkomsten van opdracht in de zin van artikel 7:400 BW. Dat wordt door Coin Meester bestreden met de opmerking dat sprake is van een gebruikersovereenkomst/licentieovereenkomst (een raamovereenkomst) tot gebruik van een platform/de software van Coin Meester, met telkens in geval van aan- dan wel verkoop daaronder hangende met Coin Meester gesloten koopovereenkomsten.
4.2.
De kantonrechter oordeelt dat de rechtsverhouding tussen Coin Meester en [eiser] kwalificeert als een overeenkomst van opdracht zoals bedoeld in artikel 7:400 BW. Ter toelichting geldt het volgende.
Coin Meester heeft tijdens de mondelinge behandeling de feitelijke gang van zaken toegelicht bij het tot stand komen van aan- dan wel verkooptransacties via haar platform (in 2021). Daaruit volgt dat Coin Meester niet kan kiezen of zij de door een kant aangeboden of verzochte crypto’s koopt respectievelijke verkoopt. Na het tonen van de geldende prijs voor de door de klant gewenste transactie is het slechts aan de klant die te accepteren waarna Coin Meester gehouden is die transactie tot stand te brengen. Het is dus de klant – [eiser] – die bepaalde verrichtingen aan Coin Meester opdraagt. Dit is kenmerkend voor een overeenkomst van opdracht in de zin van artikel 7:400 BW. Dat Coin Meester bij die transacties ook zelf optreedt als koper dan wel verkoper van de crypto’s en – voor zover die rol van Coin Meester al kenbaar was voor [eiser] – er ook elementen van koop in hun onderlinge rechtsverhouding een rol spelen, doet daaraan niet af (HR 13 juli 2012, ECLI:NL:HR:BW4989). Dat geldt ook voor het feit dat de software en het platform van Coin Meester bij deze handelingen werd gebruikt. Gelet op het voorgaande zijn de bepalingen van artikel 7:400 BW en verder van toepassing op de tussen partijen tot stand gekomen overeenkomst.
Coin Meester heeft aan haar zorgplicht voldaan
4.3.
Het voorgaande betekent dat op Coin Meester in haar relatie tot [eiser] een algemene zorgplicht rust als bepaald in artikel 7:401 BW. Dat wil zeggen dat Coin Meester als opdrachtnemer bij haar diensten de zorg van een goed opdrachtnemer in acht moet nemen en moet worden beoordeeld of Coin Meester jegens [eiser] heeft gehandeld zoals van een redelijk bekwaam en redelijk handelend aanbieder van een dergelijk platform en opdrachtnemer mocht worden verwacht.
4.4.
Partijen verschillen over de invulling van deze open norm. Anders dan [eiser] en met Coin Meester is de kantonrechter van oordeel dat de bepalingen met betrekking tot betaaldienstverlening uit titel 7b van boek 7 van het Burgerlijk Wetboek (BW) daarbij geen rol spelen. Hierbij is van belang, hetgeen ook tussen partijen niet in geschil is, dat de cryptoactiva-dienstverlening van Coin Meester niet onder het toepassingsbereik valt van de richtlijn (EU) 2015/2366 die aan deze regeling ten grondslag ligt. Daarmee is Coin Meester ook niet als betaaldienstverlener in de zin van die regeling aan te merken. Om het handelen van Coin Meester dan via de band van de zorgplicht indirect alsnog langs de lat van de regeling betaaldienstverlening te leggen, gaat in tegen de rechtszekerheid. Daarbij is ook van belang dat er belangrijke verschillen bestaan tussen de cryptovalutahandel en regulier betalingsverkeer. De klanten van Coin Meester begeven zich geheel vrijwillig in de (nog) niet gereguleerde handel in cryptovaluta, terwijl de klanten van betaaldienstverleners van die diensten feitelijk wel gebruik moeten maken om op een normale wijze aan het maatschappelijk verkeer deel te kunnen nemen. Dat laatstgenoemde dienstverleners tot meer gehouden zijn op het gebied van controle van al dan niet bevoegdelijk gegeven opdrachten en bij betwisting van instemming met een betalingstransactie gehouden zijn het bewijs van authenticatie te leveren, hangt daarmee samen.
4.5.
Wat de zorg van een goed opdrachtnemer in dit geval wél inhoudt is afhankelijk van alle omstandigheden van het geval, waaronder de aard van de door Coin Meester te verrichten diensten en de kenmerken van (de handel in) cryptovaluta. De dienstverlening van Coin Meester beperkt zich in haar relatie tot [eiser] tot het ter beschikking stellen van de benodigde software en het platform, het uitvoeren van koop- en verkoopopdrachten en het bewaren van de aangekocht crypto’s. De ontkenning van dit laatste onderdeel door Coin Meester kan geen stand houden. Uit de (destijds geldende) algemene voorwaarden (zie 2.4) en de toelichting van Coin Meester op de zitting volgt dat het weliswaar de bedoeling was dat door de klant aangekochte crypto’s vanuit diens account bij Coin Meester werden verzonden naar een extern aangehouden wallet, maar dat dat in de praktijk niet gebeurde. De klant werd daartoe niet actief aangespoord omdat het destijds (in 2021) niet makkelijk was om een externe wallet aan te maken, aldus de toelichting van Coin Meester tijdens de zitting. Dat betekent dat er (in 2021) feitelijk wel sprake was van het (gedurende enige tijd) bewaren van (aanspraken op) de crypto valuta voor de klant. In het kader van die bewaring geldt dat de kenmerken van de handel in crypto’s maken dat Coin Meester voor een adequate beveiliging van het account van de klant moet zorgdragen en moet ingrijpen wanneer zij (subjectieve) wetenschap heeft van verdachte transacties. Eén van de kenmerken van crypto’s is immers dat een verzending daarvan niet ongedaan gemaakt kan worden tenzij de ontvangende partij daaraan meewerkt en dat van die ontvangende partij niet meer bekend is dan het adres van diens ontvangende wallet zonder verdere identificatie van de daartoe gerechtigde (rechts)persoon. Zoals hierna zal worden toegelicht heeft Coin Meester aan die op haar rustende verplichtingen voldaan.
4.6.
Primair heeft Coin Meester betwist dat het e-mailaccount van [eiser] zou zijn gehackt. Zonder nadere onderbouwing van de gestelde hack, kan niet worden uitgesloten dat [eiser] zelf een nieuwe wachtwoord heeft aangemaakt, de opdracht tot verkoop heeft gegeven en de crypto’s naar een aan hem toebehorende externe wallet heeft verstuurd waardoor van enige schade geen sprake is, aldus Coin Meester. Hoewel juist is dat op [eiser] de stelplicht en bewijslast rust van zijn stellingen, kan de feitelijke toedracht in deze zaak in het midden blijven. Ook indien veronderstellenderwijs van de juistheid van de stellingen van [eiser] wordt uitgegaan, komt de kantonrechter gelet op het volgende tot het oordeel dat Coin Meester niet aansprakelijk kan worden gehouden voor de door [eiser] geleden schade.
4.6.1.
Coin Meester heeft als onderdeel van het aanmaken van het account haar nieuwe klant verplicht tweestapsverificatie (2FA) in te stellen. Daarmee heeft zij naar het oordeel van de kantonrechter voldaan aan haar verplichting om het account van haar klanten zo goed mogelijk te beveiligen. Dat de klant vervolgens de keus werd gelaten tussen 2FA via e-mail of via GA maakt dit niet anders. Hierbij is van belang dat (i) Coin Meester de klanten die voor 2FA kozen actief heeft geïnformeerd dat 2FA via GA de veiligste optie is en (ii) er desondanks goede redenen konden bestaan voor klanten om toch voor 2FA via e-mail te kiezen.
4.6.2.
Coin Meester heeft onbetwist gesteld dat, bij klanten die geen 2FA via GA hadden ingeschakeld een waarschuwingsbalk in het account verscheen met de tekst
“We zien dat je nog geen Google-Authenticator gebruikt. Voor optimale veiligheid van je account raden we je dit wel aan.Je kunt het hier activeren.”. Daarnaast stond in elke e-mail waarin een 2FA code werd verzonden aan de klant een aanbeveling voor het gebruik van GA met de woorden: “
deze optie is veiliger en sneller!”. Verder stond er ook een toelichting over 2FA op de website van Coin Meester, onder “
Veelgestelde vragen”,waarin het verschil van 2FA via e-mail en via GA werd toegelicht en waaruit het nadeel/risico van het gebruik van 2FA via e-mail werd verduidelijkt (zie hiervoor onder 2.5). De omstandigheid dat de app, die [eiser] bijna uitsluitend gebruikte, minder informatie bevatte dan de website, en dat hij daarom de uitleg over de verschillende wijzen van 2FA niet heeft gelezen, is een omstandigheid die voor eigen rekening en risico van [eiser] blijft. Tenslotte heeft Coin Meester met een logbestand laten zien dat zij aan alle klanten die nog geen 2FA via GA gebruikten een e-mail heeft gezonden (zie hiervoor onder 2.6) waarin zij de klanten erop wees dat het gebruik van 2FA via GA de meest veilige optie is. De blote ontkenning van ontvangst van deze e-mail door [eiser] is niet voldoende. Daarmee heeft Coin Meester haar klanten afdoende geïnformeerd en voorgelicht over de verschillende keuzemogelijkheden van 2FA en de nadelen die er aan 2FA via e-mail kunnen kleven ten opzichte van 2FA via GA om de klant een weloverwogen keuze te laten maken. Dat er goede redenen konden bestaan om toch voor 2FA te kiezen via e-mail is door [eiser] niet betwist. Coin Meester heeft in dit verband erop gewezen dat GA destijds nog geen gemeengoed was, het nog niet zo eenvoudig was om GA te installeren en dat GA op ieder (nieuw) apparaat waarmee de klant zijn account bij Coin Meester wilde gebruiken opnieuw moest worden geïnstalleerd, wat als een nadeel werd ervaren. [eiser] kan daarom niet worden gevolgd in zijn standpunt dat Coin Meester slechts aan haar zorgplicht zou hebben voldaan indien zij iedere klant verplichtte 2FA via GA te gebruiken.
“We zien dat je nog geen Google-Authenticator gebruikt. Voor optimale veiligheid van je account raden we je dit wel aan.Je kunt het hier activeren.”. Daarnaast stond in elke e-mail waarin een 2FA code werd verzonden aan de klant een aanbeveling voor het gebruik van GA met de woorden: “
deze optie is veiliger en sneller!”. Verder stond er ook een toelichting over 2FA op de website van Coin Meester, onder “
Veelgestelde vragen”,waarin het verschil van 2FA via e-mail en via GA werd toegelicht en waaruit het nadeel/risico van het gebruik van 2FA via e-mail werd verduidelijkt (zie hiervoor onder 2.5). De omstandigheid dat de app, die [eiser] bijna uitsluitend gebruikte, minder informatie bevatte dan de website, en dat hij daarom de uitleg over de verschillende wijzen van 2FA niet heeft gelezen, is een omstandigheid die voor eigen rekening en risico van [eiser] blijft. Tenslotte heeft Coin Meester met een logbestand laten zien dat zij aan alle klanten die nog geen 2FA via GA gebruikten een e-mail heeft gezonden (zie hiervoor onder 2.6) waarin zij de klanten erop wees dat het gebruik van 2FA via GA de meest veilige optie is. De blote ontkenning van ontvangst van deze e-mail door [eiser] is niet voldoende. Daarmee heeft Coin Meester haar klanten afdoende geïnformeerd en voorgelicht over de verschillende keuzemogelijkheden van 2FA en de nadelen die er aan 2FA via e-mail kunnen kleven ten opzichte van 2FA via GA om de klant een weloverwogen keuze te laten maken. Dat er goede redenen konden bestaan om toch voor 2FA te kiezen via e-mail is door [eiser] niet betwist. Coin Meester heeft in dit verband erop gewezen dat GA destijds nog geen gemeengoed was, het nog niet zo eenvoudig was om GA te installeren en dat GA op ieder (nieuw) apparaat waarmee de klant zijn account bij Coin Meester wilde gebruiken opnieuw moest worden geïnstalleerd, wat als een nadeel werd ervaren. [eiser] kan daarom niet worden gevolgd in zijn standpunt dat Coin Meester slechts aan haar zorgplicht zou hebben voldaan indien zij iedere klant verplichtte 2FA via GA te gebruiken.
4.6.3.
Ook weegt de kantonrechter mee – zoals door Coin Meester onderbouwd is toegelicht en door [eiser] in dat licht onvoldoende gemotiveerd is weersproken – dat bedrijven die in 2021 gelijksoortige diensten aanboden hun klanten slechts de mogelijkheid boden om 2FA in te stellen, terwijl Coin Meester dat verplichtte en Coin Meester destijds actiever dan de meeste andere aanbieders haar klanten van informatie voorzag over accountbeveiliging.
4.6.4.
De destijds op Coin Meester rustende zorgplicht gaat niet zover dat zij verplicht was om het account van een klant automatisch te blokkeren bij een wijziging van het wachtwoord. Zonder subjectieve wetenschap van onrechtmatig gebruik van het betreffende account, waarover hierna meer, is zo’n vergaande beperking van het handelsverkeer ten opzichte van haar klanten niet te rechtvaardigen. Dat aanbieders van soortgelijke diensten hun klanten hebben geïnformeerd dat zij bij een wijziging van het wachtwoord
de mogelijkheidhadden om het account te blokkeren moet ook in dat licht worden gezien.
de mogelijkheidhadden om het account te blokkeren moet ook in dat licht worden gezien.
4.6.5.
Naar het oordeel van de kantonrechter is het feit dat eerst het wachtwoord van het account van [eiser] werd gewijzigd en dat de crypto’s uit zijn account vervolgens allemaal werden verkocht aan een koper met een externe wallet terwijl [eiser] tot dan toe nog nooit crypto’s had verkocht, ook als dit in samenhang wordt bezien, niet voldoende om te kunnen vast stellen dat Coin Meester subjectieve wetenschap had van onrechtmatig gebruik van het account van [eiser] . Coin Meester heeft in dit verband ook onbetwist toegelicht dat een verzoek tot het wijzigen van het wachtwoord, via de wachtwoord vergeten procedure, regelmatig om legitieme redenen voorkomt en dat de handelwijze bovendien past in het beeld van iemand die het platform een tijdje heeft uitgeprobeerd maar toch de overstap wenst te maken naar een ander platform, hetgeen [eiser] uiteindelijk ook heeft gedaan. Daarnaast heeft [eiser] onvoldoende toegelicht waarom het gebruik van een externe wallet door de ontvangende partij tot argwaan had moeten leiden, terwijl dat volgens Coin Meester een gebruikelijke gang van zaken is bij de handel in cryptovaluta. Deze omstandigheden kunnen dan ook niet tot het oordeel leiden dat Coin Meester gehouden was om het account van [eiser] te blokkeren, nog daargelaten dat de gewraakte transacties, die in een tijdsbestek van enkele minuten zijn verricht, daarmee niet waren voorkomen of waren terug te draaien.
4.6.6.
Coin Meester was ook niet gehouden om eerst te verifiëren aan wie de externe wallet zou toebehoren, zoals door [eiser] is aangevoerd. De verplichting waaraan [eiser] refereert vloeit voort uit de zogenaamde anti witwasregeling, wat een publiekrechtelijke regeling is ter voorkoming/bemoeilijking van het witwassen van gelden/tegoeden. Die regeling heeft niet tot doel om handelaren in cryptovaluta te beschermen tegen misbruik van hun account. Coin Meester heeft daarnaast gemotiveerd toegelicht dat het verifiëren van alle externe wallets feitelijk onmogelijk is en tot vastlopen van het hele handelssysteem leidt. Ook heeft zij onbetwist aangevoerd dat er vanuit de autoriteiten voorafgaand aan het incident geen sein was gegeven dat de betreffende ontvangende wallet verdacht was en in verband werd gebracht met mogelijke criminele activiteiten, hetgeen wél een reden was geweest om het versturen van crypto’s naar die betreffende wallet te blokkeren.
Slotsom
4.7.
Gelet op het voorgaande, alle genoemde omstandigheden in onderling verband en samenhang met elkaar beschouwd, is niet komen vast te staan dat Coin Meester jegens [eiser] toerekenbaar tekort is geschoten in de nakoming van voor haar uit de overeenkomst voortvloeiende verplichtingen dan wel in acht te nemen zorgplicht. Coin Meester heeft voldaan aan wat er destijds van haar als redelijkheid handelend en redelijk bekwaam opdrachtnemer mocht worden verwacht. [eiser] maakt derhalve ten onrechte aanspraak op schadevergoeding door Coin Meester. Zijn vorderingen zullen daarom worden afgewezen.
Proceskosten
4.8.
[eiser] is de partij die ongelijk krijgt en moet daarom de proceskosten van Coin Meester betalen. Tot aan dit vonnis worden die proceskosten van Coin Meester begroot op
€ 812 aan salaris gemachtigde (2 punten x tarief € 406,-) en € 135,- aan nakosten (plus de kosten van eventuele betekening zoals vermeld in de beslissing).
5.De beslissing
5.1.
wijst het gevorderde af;
5.2.
veroordeelt [eiser] in de proceskosten van € 947,- te betalen binnen veertien dagen na aanschrijving daartoe, te vermeerderen met de kosten van betekening als [eiser] niet tijdig aan de veroordeling voldoet en het vonnis daarna moet worden betekend;
5.3.
verklaart dit vonnis uitvoerbaar bij voorraad.
Dit vonnis is gewezen door mr. B.M. Visser, kantonrechter, bijgestaan door mr. C.L. de Rijke, griffier en in het openbaar uitgesproken op 18 oktober 2024.